攻撃者がPoly Networkから1,000万ドル相当の暗号資産を不正流出—その経緯をご紹介

Poly Networkエクスプロイトの概要

ブロックチェーンセキュリティ企業Beosinの調査によると、巧妙なハッカーがPoly Networkの脆弱性を突き、ETHで約1,000万ドル相当を不正流出させることに成功しました。この事件は分散型金融（DeFi）エコシステムで再び発生した重大なセキュリティ侵害であり、クロスチェーン基盤の脆弱性が依然として続いていることを示しています。

Poly Networkは、異なるブロックチェーンネットワーク間で資産を移転できるクロスチェーンブリッジとして機能しており、7月初旬にSNSを通じてDeFiエクスプロイトの新たな被害者となったことを発表しました。この攻撃により、攻撃者は複数のブロックチェーンネットワーク上で合計340億ドル相当の暗号資産トークンをミントすることができました。

このセキュリティ侵害を受け、Poly Networkは事件発生直後にサービスの一時停止を発表し、さらなる被害の防止と徹底的な調査を行う方針を示しました。この措置は、ユーザーの保護と被害状況の把握に不可欠でした。

DeFiネットワークの開発チームは、今回のエクスプロイトにより攻撃者がEthereum、BNB Chain、Metis、Polygon、Avalanche、Heco、OKXなど10の主要ブロックチェーン上で57種類のトークンをミントできたことを明らかにしました。このマルチチェーン攻撃は、攻撃の高度な手口とクロスチェーンブリッジプロトコルに内在する脆弱性を示しています。

事件後、ハッカーのウォレットには420億ドル以上のトークンが保持されていたとされています。しかし、分散型取引所での流動性不足や各プロトコルのセキュリティ対策により、攻撃者は全ての不正ミント資産を換金できませんでした。この制約が実際の経済的被害を大幅に抑えたものの、潜在的な損害は依然として大きいものでした。

ハッキングの原因は何か？

BeosinおよびDedaubのセキュリティ専門家による詳細な分析では、Poly Networkで発生したハックは、プラットフォームのメインスマートコントラクトで使用されている秘密鍵の窃取が原因であり、コントラクト本体のロジックの脆弱性ではなかった可能性が高いとされています。この違いは、セキュリティ侵害の本質理解と今後の対策において非常に重要です。

セキュリティアナリストは、今回のエクスプロイトがコントラクトコードの特定の脆弱性によるものではないと強調しています。証拠は、ネットワークの管理権限そのものが侵害されたことを示唆しています。

セキュリティ企業の調査によれば、ネットワークのメインスマートコントラクトを管理する4つの管理者ウォレットのうち3つの秘密鍵が流出した疑いがあります。この種の攻撃は、スマートコントラクトロジック自体を回避し、人為的なセキュリティ管理の脆弱性を突くため、ブロックチェーンインフラにおける最も深刻なセキュリティ侵害のひとつです。

報道時点で、Poly Networkチームはこの秘密鍵流出に関する具体的な主張について公式な説明や確認を行っていません。チームは内部調査を進める中で、慎重な広報姿勢を維持しています。

開発チームは、犯人特定と盗難資金の回収を目的として、中央集権型取引所および法執行機関と積極的に連携しています。この対応は大規模な暗号資産盗難事件の標準的な手順であり、オンチェーン分析と従来型の捜査手法の両方を活用しています。

Poly Networkハック後、大手取引所のCEOは自社プラットフォームのユーザーがこの事件の影響を受けないと表明しました。経営陣は自社がこのネットワークからの入金をサポートしていないことを明確にし、ユーザー資産のリスク遮断を強調しました。

Poly Networkのチームは、影響を受けたプロジェクトに対し分散型取引所から流動性を引き上げるよう緊急に呼びかけました。また、影響を受けた資産を保有しているユーザーには、それらをアンロックして関連する流動性プールトークンを請求し、損失の最小化に努めるよう指示しました。

最後に、チームはハッカーに対し、盗難資金の返還を強く要請しました。これは過去の著名な暗号資産盗難事件でも成功例のあるアプローチであり、法的責任を回避するための呼びかけでもあります。

Poly Networkにおける2度目の大規模エクスプロイト

今回の攻撃は、Poly Networkにおいてここ数年で2度目となる大規模エクスプロイトであり、同プラットフォームのセキュリティ基盤や運用プロトコルに重大な疑念を投げかけています。繰り返される攻撃は、構造的な脆弱性の存在を示し、抜本的な設計改善の必要性を示唆しています。

2021年には、ハッカーグループがネットワークの脆弱性を突いて約6億1,100万ドル相当の暗号資産を盗難するという、当時史上最大級の暗号資産強奪事件が発生しました。この事件はブロックチェーン業界に衝撃を与え、クロスチェーンブリッジのセキュリティ問題が大きく議論されるきっかけとなりました。

興味深いことに、2021年の事件ではハッカーが犯行から2日以内にほぼ全ての盗難資産を返還し、その動機についてはホワイトハットによる脆弱性実証か、法執行機関や暗号資産コミュニティからの強い圧力への対応か、様々な憶測を呼びました。

当時のセキュリティ報告によると、エクスプロイトはクロスチェーンメッセージの署名に用いられた秘密鍵の流出が原因とされました。今回の攻撃も秘密鍵流出が共通しており、Poly Networkは2021年以降のセキュリティ強化にもかかわらず、管理インフラの保護に継続的な課題を抱えていることが示唆されます。

短期間で同じプラットフォーム上で大規模エクスプロイトが繰り返されたことは、クロスチェーンブリッジプロトコルの恒常的なセキュリティ課題と、分散型インフラにおける堅牢な鍵管理システムの重要性を改めて浮き彫りにしています。

よくある質問

Poly Network攻撃事件とは？なぜ1,000万ドル相当の暗号資産が盗まれたのか？

Poly Networkは2021年、クロスチェーンブリッジのスマートコントラクトの脆弱性により攻撃を受けました。攻撃者は検証機構の欠陥を突いてトランザクションを偽造し、複数の暗号資産で1,000万ドルを流出させました。この事件は分散型ブリッジプロトコルのセキュリティリスクを浮き彫りにしました。

クロスチェーンブリッジプロトコルにはどのようなセキュリティリスクがあり、今後同様の攻撃をどう防ぐべきか？

クロスチェーンブリッジには、スマートコントラクトの脆弱性、バリデーターの共謀、不十分な流動性チェックといったリスクがあります。予防策としては、徹底したセキュリティ監査、マルチシグ認証、分散型バリデータネットワーク、リアルタイム監視体制、資産の段階的ブリッジ制限による損失抑制などが挙げられます。

Poly Network攻撃は暗号資産ユーザーやDeFiエコシステムにどのような影響を与えるか？

Poly Networkの1,000万ドル規模の攻撃は、クロスチェーンのセキュリティ脆弱性を明らかにし、マルチチェーンブリッジ利用者の警戒感を高めました。これにより、より高度なセキュリティプロトコルや監査への需要が高まり、DeFiエコシステムの成熟とブリッジ基盤への信頼向上が加速しています。

Poly Networkとは？その主な機能と目的は？

Poly Networkは、複数のブロックチェーンネットワーク間で資産やデータのシームレスな移転・通信を可能にするクロスチェーン相互運用プロトコルです。主な機能は分散型ブリッジソリューションの提供で、異なるチェーン間で暗号資産やトークンを効率的かつ安全に交換できます。

暗号資産取引所やウォレットはどのようにユーザー資産を保護しているか？

取引所やウォレットは、マルチシグ認証やコールドストレージによるオフライン資産保護、暗号化プロトコル、保険契約、定期的なセキュリティ監査などを活用し、ユーザー資金を盗難や不正アクセスから守っています。

DeFiプロトコルのセキュリティとリスクはどのように評価・判断するか？

DeFiプロトコルの評価には、信頼できる企業によるスマートコントラクト監査の有無、コードの透明性、TVL（預かり資産総額）や取引量、チームの信頼性、ガバナンス構造、セキュリティインシデント履歴の確認が重要です。リアルタイム監視にはリスク分析プラットフォームの活用も推奨されます。